Qué es el AI Act y por qué te importa aunque seas una pyme
El AI Act regula el uso de sistemas de inteligencia artificial en la Unión Europea utilizando un enfoque basado en el riesgo. No regula la tecnología en sí, sino cómo se usa y qué impacto tiene en las personas. Esto significa que un mismo modelo de IA puede tener obligaciones diferentes según para qué lo uses. La lógica es similar a la del GDPR con los datos personales: no prohíbe usar IA, pero exige que lo hagas con gobierno, transparencia, evidencias y supervisión humana proporcionales al riesgo. El AI Act no opera solo. Se enmarca en un mapa normativo más amplio que incluye:- GDPR: Protección de datos personales. Cualquier sistema de IA que procese datos personales debe cumplir con el GDPR (DPIA, base legal, consentimiento, derechos del interesado).
- NIS2: Seguridad de redes y sistemas de información. Si tu IA opera sobre infraestructura crítica, aplica NIS2.
- DMA/DSA: Regulación de mercados y servicios digitales. Relevante si operas en marketplaces o plataformas digitales.
Clave para pymes: El AI Act contempla medidas de apoyo específicas para pymes: sandboxes regulatorios, sanciones reducidas proporcionalmente y documentación simplificada. No estás solo ante la norma.
Los cuatro niveles de riesgo: la decisión que determina todo
La clasificación de riesgo es la decisión central del AI Act. Determina todas las obligaciones que se activan. Se establece respondiendo cuatro preguntas: ¿afecta a personas? ¿Produce efectos legales o significativos? ¿En qué entorno se usa? ¿Qué rol tiene tu empresa (proveedor, responsable del despliegue, distribuidor)?Riesgo inaceptable (prohibido)
Sistemas que no se pueden poner en servicio bajo ninguna circunstancia. No admiten controles ni mitigación.- Manipulación subliminal que cause daño significativo.
- Social scoring (puntuación social) por autoridades públicas.
- Categorización biométrica por atributos sensibles (raza, religión, orientación sexual).
- Reconocimiento emocional en entornos de trabajo o educación.
- Identificación biométrica en tiempo real en espacios públicos (con excepciones policiales tasadas).
Alto rischio
Sistemas que toman decisiones que afectan a derechos fundamentales. Hay dos tipos: Alto riesgo por uso (stand-alone): Selección de personal (contratación, despido), admisión educativa, evaluación académica, acceso a servicios esenciales (ayudas públicas, seguros, préstamos), aplicación de la ley y justicia. Alto riesgo embebido: Componentes de seguridad como dispositivos médicos con IA, sistemas industriales de parada de emergencia, vehículos autónomos. Obblighi: Gestión de riesgos documentada, supervisión humana obligatoria, logs de trazabilidad, expediente técnico completo, evaluación de impacto en derechos fundamentales (FRIA), vigilancia post-comercialización. Sanción: Fino a 15 milioni di euro o il 3% del fatturato globale.Rischio limitato
Sistemi che non sono ad alto rischio ma richiedono obblighi di trasparenza:- Avisar al usuario de que está interactuando con un sistema de IA (chatbots, asistentes virtuales).
- Etiquetar claramente el contenido generado por IA (texto, imágenes, vídeo, audio).
- Incluir marcas de agua o metadatos de detectabilidad en contenido sintético.
Rischio minimo
La gran mayoría de los usos de IA en una pyme: filtros de spam, motores de recomendación de productos, automatizaciones internas sin impacto directo en personas, IA en videojuegos. Non hanno restrizioni speciali más allá del cumplimiento general de leyes.Importante: Los modelos de propósito general (GPAI) como ChatGPT, Gemini o Claude no son un nivel de riesgo: son una categoría aparte. Sus obligaciones recaen sobre el proveedor del modelo (OpenAI, Google, Anthropic), no sobre ti. Lo que define si tu caso es alto riesgo es el uso que haces en tu empresa, no el modelo que usas.
¿Qué sistemas que ya usas están afectados?
Haz un inventario rápido. Estos son los usos más comunes en pymes y su clasificación probable:- Chatbot di assistenza clienti: Riesgo limitado. Debes avisar al usuario de que habla con una IA.
- Motore di raccomandazione dei prodotti Rischio minimo. Senza obblighi speciali.
- Asistente de generación de contenido (texto, imágenes): Riesgo limitado. Debes etiquetar el contenido como generado por IA.
- Herramienta de scoring crediticio o evaluación de solvencia: Alto riesgo. Requiere expediente técnico completo y FRIA.
- Sistema de selección de candidatos con IA: Alto riesgo. Mismo régimen.
- Automatización de emails de marketing: Rischio minimo.
- IA para análisis de datos internos: Riesgo mínimo, salvo que procese datos personales (aplica GDPR).
- Filtros de spam y detección de fraude: Rischio minimo.
FRIA y expediente técnico: qué son y cuándo necesitas cada uno
Expediente técnico
Es el documento central del AI Act para todo sistema de IA de alto riesgo. Un documento vivo que describe qué hace el sistema, con qué datos, cómo está controlado, cómo se supervisa, qué riesgos tiene y cómo se mitigan. Debe incluir como mínimo: finalidad y límites del sistema, datasets y gobernanza del dato, métricas y umbrales de calidad, riesgos y salvaguardas, supervisión humana, logs y trazabilidad, seguridad y gestión de cambios. Es la prueba documental principal en auditorías. Si tu IA es de alto riesgo y no tienes expediente técnico, no cumples.FRIA (Fundamental Rights Impact Assessment)
Complementa al DPIA del GDPR. No evalúa privacidad, sino impactos sobre derechos fundamentales: educación, trabajo, no discriminación, presunción de inocencia. Es obligatoria para sistemas de alto riesgo que afectan a personas en áreas como ayudas sociales, vivienda pública, evaluación educativa o preselección de candidatos.Buena noticia para pymes: Si tu IA opera en riesgo mínimo o limitado, no necesitas expediente técnico ni FRIA. Lo que sí necesitas es la ficha de clasificación de riesgos y cumplir las obligaciones de transparencia si aplican. Son documentos sencillos que se pueden preparar en horas, no en meses.
Calendario de aplicación: qué plazos tienes
- Febrero 2025 (ya en vigor): Prácticas de IA prohibidas y obligaciones de alfabetización en IA.
- Agosto 2025 (ya en vigor): Reglas para modelos de propósito general (GPAI). Los Estados miembros designan autoridades nacionales y crean sandboxes regulatorios.
- Agosto 2026: Entrada en vigor de la mayoría de reglas. Sistemas de alto riesgo (Anexo III) y obligaciones de transparencia (Artículo 50). Esta es la fecha crítica para la mayoría de empresas.
- Agosto 2027: Aplicación completa. Los modelos de IA ya desplegados antes de agosto de 2025 deben cumplir para esta fecha.
Período de gracia: Si tu empresa ya tenía sistemas de IA en funcionamiento antes de agosto de 2025, tienes hasta agosto de 2027 para adaptarlos. Pero si despliegas un nuevo sistema de alto riesgo a partir de agosto de 2026, debe cumplir desde el día uno.
Los roles del AI Act: ¿qué papel juega tu empresa?
El AI Act no solo regula tecnología: regula quién hace qué. Tu papel determina tus obligaciones:- Fornitore: Quien desarrolla el sistema de IA o realiza cambios sustanciales. Debe entregar gestión de riesgos, documentación técnica, supervisión humana, logs y vigilancia post-comercialización.
- Responsabile dello schieramento: La empresa que usa el sistema. Debe validar en entorno real, operar con supervisión humana, registrar incidentes, gestionar cambios y retirar el sistema si se degrada. Este es probablemente tu rol.
- Importatore/Distributore: Cuando el sistema viene de fuera de la UE o se reetiqueta.
Las sanciones: cuánto te puede costar no cumplir
El AI Act establece un régimen sancionador escalonado según la gravedad de la infracción:- Prácticas prohibidas (riesgo inaceptable): Hasta 35 millones de euros o el 7% de la facturación global anual, lo que sea mayor.
- Incumplimiento de obligaciones de alto riesgo: Fino a 15 milioni di euro o il 3% del fatturato globale.
- Otras infracciones (transparencia, documentación): Fino a 7,5 milioni di euro o l'1% del fatturato globale.
Contexto: Más allá de las multas económicas, el incumplimiento del AI Act puede conllevar la retirada obligatoria del sistema de IA del mercado, daño reputacional y pérdida de confianza de clientes y socios. El coste real de no cumplir siempre supera al coste de prepararse.
Checklist de cumplimiento para pymes: 10 pasos para prepararte
- Haz un inventario de IA. Lista todas las herramientas y usos de IA en tu empresa, incluida la Shadow AI.
- Clasifica cada sistema por nivel de riesgo. Utiliza la ficha de clasificación del AI Act: ¿afecta a personas? ¿Produce efectos legales?
- Identifica tu rol para cada sistema. ¿Eres proveedor o responsable del despliegue?
- Cumple la transparencia (riesgo limitado). Añade avisos de IA en chatbots y etiquetas en contenido generado.
- Prepara el expediente técnico (solo alto riesgo). Documenta finalidad, datos, controles, métricas y supervisión humana.
- Realiza DPIA si procesas datos personales con IA. Obligación del GDPR que se refuerza con el AI Act.
- Realiza FRIA si tu sistema es de alto riesgo. Evalúa el impacto en derechos fundamentales.
- Exige due diligence a tus proveedores de IA. Factsheet, DPA que prohíba reentrenamiento, SLAs.
- Implementa supervisión humana (HITL). Define quién revisa, cuándo y cómo se registran las intervenciones.
- Documenta todo desde el día uno. Registros, logs, changelog, métricas, incidentes. La trazabilidad es la clave de todo el AI Act.
«El AI Act no es un obstáculo para la innovación. Es el marco que convierte el cumplimiento normativo en un activo reputacional y competitivo.»
Cómo encaja el AI Act con tu modelo de gobernanza
Si ya tienes (o estás montando) un AI Steering Committee con un sistema de Gates, el AI Act encaja de forma natural. Los artefactos que exige la norma son los mismos que ya produces en cada puerta de decisión:- Gate 0 (Ideación): La ficha de clasificación de riesgos que exige el AI Act es el primer artefacto del Gate 0. Si clasificas el riesgo al inicio, sabes exactamente qué obligaciones se activan.
- Gate 1 (Piloto): El DPIA-lite, la FRIA (si aplica), los controles de grounding y la factsheet del modelo son las evidencias que necesitas tanto para el Gate 1 de tu gobernanza como para demostrar cumplimiento al regulador.
- Gate 2 (Producción): El expediente técnico, el runbook de incidentes, la prueba de rollback y los SLAs son requisitos del AI Act para alto riesgo y, al mismo tiempo, las evidencias de tu Gate 2.
La conclusión: prepararse ahora es más barato que adaptarse después
El AI Act no va a desaparecer y los plazos están encima. Para la mayoría de pymes, las obligaciones son razonables: clasificar tus usos de IA, cumplir con la transparencia, hacer due diligence a tus proveedores y documentar lo que haces. Las empresas que integren el cumplimiento en su modelo operativo desde el principio (con un AI Steering Committee, un sistema de Gates y una Política de IA Lite) no solo evitarán sanciones: crearán confianza con clientes, socios e inversores. Porque en la era de la IA, la gobernanza no es un freno. Es tu mejor ventaja competitiva.¿Necesitas ayuda para clasificar tus sistemas de IA y cumplir con el AI Act? En Impulsa3 te acompañamos con un diagnóstico práctico, la ficha de clasificación y tu hoja de ruta de cumplimiento adaptada a tu negocio.
Fonti e riferimenti
- Reglamento (UE) 2024/1689 — AI Act (Reglamento Europeo de Inteligencia Artificial)
- EU AI Act Implementation Timeline (artificialintelligenceact.eu)
- Small Businesses’ Guide to the AI Act (EU)
- Instituto Europeo de Posgrado — Documentación del Máster en AI Transformation: AI Act para Managers I y II
- GDPR (Reglamento General de Protección de Datos)
- NIS2 (Directiva de Seguridad de Redes y Sistemas de Información)
- NIST AI Risk Management Framework (AI 100-1)